IPImen ، Firewall ، NGFirewall-UTM، آیپی ایمن، فایروال ایرانی ، فایروال بومی، یوتی ام بومی، یوتی ام ایرانی، فایروال نسل بعدی ایرانی، فایروال نسل بعدی بومی

سواستفاده باج افزار Venus از سرویس‌های Remote Desktop

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir venus ransomware 1

در یک کمپین حمله جدید، اپراتور‌های پشت باج‌افزار Venus در حال به خطر انداختن سرویس‌های دسک‌تاپ راه دور (RDP) که در معرض عموم قرار‌گرفته‌اند، جهت رمزگذاری دستگاه‌های ویندوزی هستند.

باج افزار ونوس
گروه MalwareHunterTeam فاش کرد که در آگوست ٢٠٢٢، باج‌افزار Venus کار خود را آغاز نموده و شروع به قفل کردن دستگاه‌های قربانیان در سراسر جهان کرده است.

هنگامی که باج افزار اجرا می‌شود، می‌تواند سی و نه فرآیند مرتبط با سرور‌های پایگاه داده و برنامه‌های آفیس را خاتمه دهد.

سپس Shadow Copy Volumes و Event Log‌ها را حذف می‌کند. با استفاده از یک دستور، Data Execution Prevention را غیرفعال می‌کند.

پسوند. venus را اضافه می‌کند؛ به طور مثال فایلی با نام test[.]jpg رمزگذاری می‌شود و به test[.]jpg[.]Venus تغییر نام می‌دهد.
takian.ir venus ransomware 2
جزئیات بیشتر
این باج افزار خود را Venus می‌نامد و یک آدرس TOX و آدرس ایمیل برای تماس با اپراتور‌ها به اشتراک می‌گذارد.

یک یادداشت باج HTA در پوشه %Temp% ایجاد می‌کند که پس از پایان رمزگذاری دستگاه به طور خودکار نشان داده می‌شود.

یادداشت باج یک صفحه رمزگذاری شده base64 است که اعتقاد بر این است که یک کلید رمزگشایی رمزگذاری شده است.
takian.ir venus ransomware 3
علاوه بر این، RDP برای دسترسی اولیه به یک شبکه، حتی با یک شماره پورت غیر استاندارد برای سرویس، مورد سواستفاده قرار می‌گیرد.

نتیجه‌گیری
باج افزار Venus فعال است و مرتبا ارسال‌های جدید روزانه در ID باج افزار بارگذاری می‌شوند. در حال حاضر، باج افزار سرویس‌های Remote Desktop را هدف قرار می‌دهد، بنابراین این سرویس‌ها باید در پشت یک فایروال قرار گیرند. علاوه بر این، هیچ سرویس دسکتاپ از راه دور نباید در معرض عموم قرار گیرد و فقط از طریق VPN قابل دسترسی باشد.

برچسب ها: یادداشت باج, Ransom Note, Event Log, Shadow Copy Volumes, ونوس, Venus, Ransom, Encryption, Remote Desktop, RDP, ransomware , VPN, Cyber Security, حملات سایبری, رمزگذاری, باج افزار, امنیت سایبری, Cyber Attacks, حمله سایبری, news

چاپ ایمیل